Консалтинговая компания в сфере цифровой безопасности Cofense недавно опубликовала отчет о фишинговых атаках в уходящем году. В их отчете State of Phishing Defense 2018 собраны данные от более чем 135 миллионов имитированных фишинговых писем, которые были отправлены по выборке из 1400 компаний по всему миру. Впоследствии эти данные были сопоставлены с информацией о реальных атаках, полученной Центром фишинговой защиты Phishing Defense Center (PDC) компании Cofense. Проанализировав всю эту информацию, полученные результаты оказались весьма показательными.
Вложения – один из наиболее распространенных типов фишинга.
Первое, что показывает данный отчет – в среднем, каждое десятое письмо является вредоносным. Хотя это значение варьируется в зависимости от месяца: январь имеет самый низкий показатель в 7%, а вот июль отмечается наивысшим показателем в 13%. Как мы увидим позже, когда будем обсуждать еще один из выводов доклада, такое сезонное колебание совсем не случайно.
Если говорить по сферам деятельности, то среди наиболее пострадавших оказываются предприятия сферы ЖКХ, юридические консультации (соответственно 20% и 19% писем являются вредоносными). В то время как ИТ-компании и организации в сфере финансовых услуг имеют показатель всего в 7%. Несмотря на все это, и как показывает отчет, меньшее количество атак вовсе не означает меньший уровень риска: один отдельно взятый случай может причинить ущерб на миллионы долларов США.
Еще один примечательный вывод следует из анализа типов фишинга: письма, содержащие вредоносные файлы, продолжают оставаться одной из самых распространенных категорий фишинга. Таким образом, кибер-преступники стремятся обойти URL-сканер, который используется многими решениями информационной безопасности в качестве защитного барьера для обнаружения фишинга. Однако самые неожиданные данные в исследовании возникают после анализа тем фишинговых писем.
Опасность «счетов»
Сортировка писем по их темам дает нам ошеломляющий рейтинг: 6 из 10 самых эффективных фишинговых кампаний 2018 года в теме письма содержало слово «invoice» («счет»). Более того, другие слова также связаны с финансовой деятельностью компаний: «remittance» (денежный перевод) или «payment» (платеж). По этой причине в июне и июле, которые являются окончанием финансового года для многих компаний с присутствием в различных странах, наблюдается рост количества атак по сравнению с другими месяцами. По этой же причине сотрудники финансовых департаментов компаний и организаций являются наиболее уязвимыми для такого рода атак.
Источник: Cofense, State of Phishing Defense 2018.
Предотвращение и осведомленность
Как мы объясняли в предыдущей статье, фишинг продолжает оставаться распространенным явлением, потому что для кибер-преступников обманывать людей с помощью так называемой социальной инженерии является намного более простой задачей, чем пытаться обходить файерволы и решения информационной безопасности, которые защищают почтовые ящики. В этом смысле необходимо работать над тем, чтобы предотвращать попытки обмана сотрудников, особенно сотрудников, работающих в финансовых отделах компаний. Для этого мы предлагаем ряд рекомендаций, какие меры должны быть внедрены.
Первым логическим шагом в отношении сотрудников является их обучение тому, как выявлять подозрительные фишинговые письма, содержащие вложения. Многие такие письма содержат названия и изображения, взятые от реальных компаний, которые могут быть клиентами или поставщиками. Однако часто они содержат и другие подозрительные элементы:
- Доменное имя, используемое отправителем, не полностью совпадает с доменом той компании, от лица которой якобы отправляется счет.
- Использование другого языка, отличного от того, который обычно используется организацией для коммуникации со своими контрагентами.
- Серьезные орфографические и грамматические ошибки в результате использования программ для машинного перевода при составлении письма.
В этом контексте необходимо для сотрудников проводить фишинговые симуляции, чтобы они могли на практике узнать, как быстро выявлять такие письма на основе этих шаблонов.
Во-вторых, ключевой момент – это осторожность. Таким образом, крайне важно, чтобы сотрудники имели в виду, что они не должны открывать какие-либо вложения до тех пор, пока они не будут полностью уверены в том, что письмо исходит от реального отправителя, и что оно безопасно. Если же письмо не содержит каких-либо вышеупомянутых признаков фишинга, но сомнения все же остались, то лучше всего проверить платежную систему компании или спросить своих коллег, ожидают ли они какие-нибудь счета или платежи? Какой статус отношений с этим возможным контрагентом? И, если вы сомневаетесь по поводу возможного риска, всегда лучше сообщить об этом сотрудникам службы безопасности.
Наконец, очень хорошо, если в компании используется современное решение информационной безопасности с опциями расширенной защиты, которое предоставляет полный контроль над всеми процессами. Примером такого решения является Panda Adaptive Defense, который способен обнаруживать все возможные и неизвестные угрозы заранее, а также проводить полное сканирование всех писем и вложений в реальном времени как только они достигают почтовых серверов компании. Такая видимость в реальном времени позволяет остановить любую попытку потенциальной фишинговой атаки, обеспечивая полную безопасности компании.